När personuppgifter behandlas har människorna i regel rättigheter i relation till den organisation som behandlar personuppgifterna. Man har till exempel rätt att få veta hur personuppgifterna behandlas. Organisationer som behandlar personuppgifter av minderåriga barn och unga ska ta i beaktande att minderårigas vårdnadshavare kan ha rätt att utöva dataskyddsrättigheterna för sina minderåriga barn. Å andra sidan har minderåriga alltid rätt till sina egna uppgifter, och dessa uppgifter ska inte alltid överlämnas till vårdnadshavaren.
Barnens grundläggande rättigheter och vårdnadshavarnas ställning som utövare av dessa rättigheter är lätta att förstå om man tänker till exempel på barnets rätt till försörjning. Varje barn har rätt att få omvårdnad av sina föräldrar. Vårdnadshavarna är skyldiga att se till att barnets försörjning är tillräcklig.
Både barnets rätt till försörjning och barnets rätt till skydd av personuppgifter är grundläggande rättigheter, men de är sinsemellan olika som rättigheter. Den personuppgiftsrelaterade grundläggande rättigheten kan inte lösas matematiskt på samma sätt som barnets behov av försörjning.
Minderårigas rätt att förbjuda att uppgifter överlämnas till vårdnadshavaren
Vi närmar oss en situation som förknippas med skydd av personuppgifter genom ett fiktivt exempel om hobbyverksamhet.
Ville ska gå på orienteringsklubbens sommarläger när han precis fyller 15 år. Ville bor för närvarande hos sin far. Ville vill inte att hobbyverksamheten överlämnar hans personuppgifter eller berättar om att han deltar på lägret till hans mor. Dessutom berättar han för orienteringsklubbens handledare att han förbjudit hälsovården att överlämna sina hälsouppgifter till modern.
Vad ska orienteringsklubbens handledare göra när Villes mor i egenskap av en vårdnadshavare ber att få tillgång till Villes uppgifter? Som en bakgrundsuppgift vet man att Villes föräldrar har gemensam vårdnad. I regel har alltså båda föräldrarna en lika rätt till Villes uppgifter. Det finns dock bestämmelser i flera olika lagar om minderårigas rätt att begränsa sin vårdnadshavares rätt till information. Barnens bestämmanderätt över sina egna uppgifter ökar också i takt med att de blir äldre och därmed ökar sin omdömesförmåga.
Vad gäller hälsouppgifterna skulle Villes läkare ta patientlagen (9 § 2 mom.) som utgångspunkt. Om en minderårig patient med beaktande av ålder och utveckling kan fatta beslut om vården, har hen rätt att förbjuda att uppgifter om hens hälsotillstånd och vård ges till hens vårdnadshavare eller någon annan laglig företrädare. I regeringens proposition om patientlagen har man föreslagit 12 års ålder.
Läkaren kan alltså ha en relativt säker grund när hen vägrar överlämna Villes uppgifter till modern, om läkaren bedömer att Ville är kapabel till att besluta att förbjuda överlämnandet av sina uppgifter. Anordnare av hobbyverksamhet har mer begränsade möjligheter att hitta svar direkt i lagstiftningen eller dess förarbeten. Situationer ska avgöras från fall till fall med beaktande av de individuella omständigheter som påverkar situationen.
Vilka omständigheter ska man beakta om ett barn vill förbjuda överlämnandet av sina uppgifter till sin vårdnadshavare?
Hur skulle jag själv lösa situationen om jag var en handledare på Villes orienteringsklubb? Trots att jag har en del kunskap om lagstiftningen är jag vad gäller detta exempelfall i samma ställning som andra eftersom svaret inte går att hitta direkt i lagstiftningen. Man kan eventuellt diskutera med den minderåriga personen om att hens vårdnadshavare har bett om uppgifter vars överlämnande hen har förbjudit. Man ska dock vara försiktig så att man inte av misstag pressar den minderåriga personen att ändra sin åsikt bara för att enkelt lösa situationen.
Jag måste alltså lösa situationen på basis av de uppgifter som jag har till mitt förfogande.
- Jag skulle ta reda på vad andra aktörer har beslutat om överlämnande av minderårigas uppgifter till vårdnadshavare. Jag vet till exempel att uppgifterna på Kanta inte syns för föräldrarna när barnet har uppnått en viss ålder. Man kan hitta exempel på olika situationer även om man inte har kännedom om lagstiftningen. Skulle man kunna hitta riktlinjer för lösningar i dessa andra situationer även om man inte hittar ett direkt svar? Jag påminner ändå mig själv om att jag ska vara försiktig så att jag inte drar alltför slätstrukna slutsatser, eftersom till exempel vad gäller uppgifter på Kanta finns det speciallagstiftning som styr överlämnande av minderårigas uppgifter. För hobbyverksamhet finns det ingen sådan speciallagstiftning att tillämpa.
- Jag skulle försöka få familjen att sinsemellan komma överens om informationsutbytet. Vårdnadshavare har rätt att berätta om sådant som berör deras minderåriga barn till den andra föräldern. Själv anser jag dock att i detta fall kan man inte ge uppgifter till den vårdnadshavare som bett om dem. Ibland kan familjesituationer dock vara så inflammerade att det inte hjälper att uppmuntra familjemedlemmarna till öppenhet.
- Jag skulle överväga nackdelarna med att lämna ut/inte lämna ut uppgifter. Här ska man dock komma ihåg att den minderårigas rätt till sina egna uppgifter ska respekteras. Om en förälder inte har någon annan grund för att ta del av barnets uppgifter än nyfikenhet, kan detta väga tyngre än barnets grundläggande rättigheter till skydd av personuppgifter?
- Jag skulle besluta att lämna ut/inte lämna ut uppgifter och anteckna grunderna för mitt beslut vid behov. Varje enskild situation ska bedömas separat för att kunna fatta ett beslut. Jag skulle överväga vilka av de faktorer som jag känner till talar för och emot överlämnande av uppgifter.
I egenskap av orienteringsklubbens handledare skulle jag basera min bedömning på att det inte lär orsaka någon konkret skada för Villes mor att hon inte får de uppgifter hon bett om. Däremot kan Ville ha ett riktigt, motiverat behov att hemlighålla några uppgifter från sin mor. Jag känner dock inte nödvändigtvis till någon sådan grund, och det kan jag inte heller fråga Ville om.
I detta fall skulle jag alltså utgå ifrån att i och med att Ville snart fyller 15 år ska hans åsikt respekteras särskilt med tanke på hans ålder. Mitt beslut skulle ha kunnat vara annorlunda om Villes mor hade haft ett konkret behov att få de uppgifter hon bett om.
Som beslutsfattare skulle jag ta de faktorer som beskrivits i exempelfallet i beaktande och grunda mitt beslut på den tillgängliga informationen fram till det att det tillkommer nya regler, anvisningar eller rättspraxis. Frågor som handlar om utövandet av dataskyddsrättigheterna ska i alla fall lösas och begäranden besvaras oavsett om den som begär uppgifter är det minderåriga barnet självt eller barnets vårdnadshavare.
I efterhand ska man kunna motivera varför man har eller inte har överlämnat de uppgifter som begärts.
Inget fall är likt ett annat – kom ihåg att varje fall ska bedömas separat
Hade Ville varit 5 år gammal eller hade det funnits andra vägande skäl till att modern i egenskap av vårdnadshavare skulle ha behövt uppgifterna, skulle mitt beslut kunnat ha varit ett annat. Tiden kommer att utvisa om framtida rättspraxis eller myndighetsanvisningar kommer att påverka situationer som den fiktiva situationen ovan. Liknande situationer kommer helt säkert att komma upp inom hobbyverksamhet runt om i Finland.
Inom projektet GDPR4CHLDRN – Dataskydd inom hobbyverksamhet upprättas praktiskt material till stöd för aktörer inom föreningar och hobbyverksamhet så att de bättre ska kunna beakta kraven i dataskyddslagstiftningen i sin egen verksamhet.
Avsikten är att aktörer som behandlar personuppgifter inom hobbyverksamhet skulle likt handledaren på Villes orienteringsklubb kunna självständigt med hjälp av materialen lösa situationer som framstår i hobbyverksamhetens vardag.
Författare till artikeln Terhi Rehtonen är överinspektör vid dataombudsmannens byrå och deltar som sakkunnig i projektet GDPR4CHLDRN.
- GDPR4CHLDRN är ett tvåårigt projekt, som tar slut i augusti 2024. Syftet är att öka förståelsen för behandlingen av personuppgifter och dataskyddslagstiftningen hos såväl barn, ungdomar och föräldrar som också föreningsaktörer.
- Projektet finansieras av Europeiska unionens program för medborgare, jämlikhet, rättigheter och värden (Citizens, Equality, Rights and Values programme).
- Samordnare är dataombudsmannens byrå med TIEKE Tietoyhteiskunnan kehittämiskeskus ry som projektpartner.
Läs mera om GDPR4CHLDRN projektet på svenska
Finansierat av Europeiska unionen. De synpunkter och åsikter som uttrycks är endast upphovsmännens och upphovsmännen tar ansvar för dessa. Europeiska Unionen eller Europeiska kommissionen kan inte hållas ansvariga för dessa.